Mainos / Advertisement:

Ero sivun ”RouterOS Firewall” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
(Tämä versio merkittiin käännettäväksi)
 
(25 välissä olevaa versiota toisen käyttäjän tekemänä ei näytetä)
Rivi 1: Rivi 1:
 +
 
<languages/>
 
<languages/>
 
<translate>
 
<translate>
 +
<!--T:17-->
 +
Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon.
 +
 +
<!--T:18-->
 +
RouterOS palomuuri noudattaa pääsääntöisesti Linuxin logiikkaa Iptablesissa.
 +
 +
<!--T:19-->
 +
Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä:
 +
 +
  <!--T:20-->
 +
/ip firewall
 +
 +
<!--T:21-->
 +
<gallery>
 +
File:RouterOS_firewall_1.png
 +
</gallery>
 +
 +
== Filter Rules == <!--T:22-->
 +
 +
<!--T:23-->
 +
Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin.
 +
 +
=== Peruspalomuuri === <!--T:24-->
 +
 +
<!--T:25-->
 +
Tässä esimerkissämme luomme turvallisen RouterOS peruspalomuurin joka käy jokaiseen tarpeeseen.
 +
 +
<!--T:26-->
 +
Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle.
  
Mikrotikin RouterOS palomuuriasetukset löytyy IP -> Firewall alla.
+
  <!--T:27-->
 +
/ip firewall filter add chain=input action=accept
  
  /ip firewall
+
<!--T:28-->
 +
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_1.png
 +
RouterOS_firewall_filter_rule_input_example_2.png
 +
</gallery>
  
== Porttien avaus == <!--T:1-->
+
<!--T:29-->
 +
Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi. Yhteys pitää kuitenkin olla luotettava.
  
<!--T:2-->
+
  <!--T:30-->
On hyvä, että pääset ulkoverkosta konfiguroimaan mikrotikkiä.
+
/ip firewall filter add chain=forward  connection-state=established,related action=accept
  
<!--T:3-->
+
<!--T:31-->
Mennään IP -> Firewall -> Filter Rules
+
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_3.png
 +
RouterOS_firewall_filter_rule_input_example_2.png
 +
</gallery>
  
<!--T:4-->
+
<!--T:32-->
Sitten valitaan Add rule
+
Estetään epämääräiset liikennöinti reitittimen läpi.
  
Sitten vain tehdään muutama juttu.
+
  <!--T:33-->
 +
/ip firewall filter add chain=forward connection-state=invalid action=drop
  
[[Tiedosto:Open portwinbox.jpg]]
+
<!--T:34-->
[[Tiedosto:Openportwinbox2.jpg]]
+
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_7.png
 +
RouterOS_firewall_filter_rule_input_example_6.png
 +
</gallery>
  
== Porttien sulkeminen ==
+
<!--T:35-->
 +
Seuraavaksi sallitaan ICMP prokolola, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa.
  
* Sulje portit 21, 22, 23 ja 80 ulkoverkosta, jotta hallinta pysyy turvallisena.
+
  <!--T:36-->
 +
/ip firewall filter add chain=input protocol=icmp action=accept
  
  ip firewall filter add action="drop" chain="input" dst-port="21" in-interface="ether1-gateway"
+
<!--T:37-->
 +
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_4.png
 +
RouterOS_firewall_filter_rule_input_example_2.png
 +
</gallery>
  
 +
<!--T:38-->
 +
Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen.
  
== Porttiohjaus == <!--T:7-->
+
  <!--T:39-->
 +
/ip firewall filter add chain=input in-interface=ether1 action=drop
  
 +
<!--T:40-->
 +
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_5.png
 +
RouterOS_firewall_filter_rule_input_example_6.png
 +
</gallery>
  
Esimerkki porttiohajsu SSH protokolalle
+
<!--T:41-->
 +
Nyt on valmiina peruspalomuuriasetukset. Palomuuri toimii ylhäältä alaspäin (0 ->) listan mukaisesti. Oletuksena on aina sallitaan jos ei toisin mainita.
  
Mennään IP -> Firewall -> NAT -> New rule
+
  <!--T:42-->
 +
/ip firewall filter print
  
[[Tiedosto:winboxssh.jpg]]
+
<!--T:43-->
[[Tiedosto:winboxssh2.jpg]]
+
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_8.png
 +
</gallery>
  
 +
=== Estä hallintaporteihin pääsy ulkoverkosta === <!--T:44-->
  
SSH yhteyden ottaessani ''minunulkoverkonip'':1234 ohjautuu sisäverkon palvelimelle porttiin 22.
+
<!--T:45-->
 +
Estetään ulkoverkosta pääsy hallintaportteihin 21, 22, 23, 80 ulkoverkosta. Tämä suojaa Mikrotikkiä ettei ulkopuolinen pääse laitteeseen käsiksi helpolla.
  
== Aiheeseen liittyvää ==
+
  <!--T:46-->
 +
/ip firewall filter add chain=input protocol=tcp dst-port=21,22,23,80 in-interface=ether1 action=drop
  
 +
== NAT == <!--T:47-->
  
[[RouterOS NAT]]
+
<!--T:48-->
 +
NAT:ista meillä on oma artikkeli: [[RouterOS NAT]]
  
 +
== Mangle == <!--T:49-->
  
[[RouterOS Suojaaminen]]
+
<!--T:50-->
 +
Mangle:n avulla voit merkata paketit erityisellä merkillä. Voit lisätä merkin pakettiin ja käyttää esimerkiksi [[RouterOS Queue|Queue]]:ssa, NAT:issa ja reitittämisessä. Mangle:n merkit ovat vain nykyisen reitittimen merkkejä, eli niitä ei lähetetä verkossa eteenpäin.
  
== Lähde ==
+
=== Marking Packets === <!--T:51-->
  
<!--T:16-->
+
<!--T:52-->
 +
Merkataan esimerkiksi interface:n ether1-gateway:n portissa 80 menevät paketit.
 +
 
 +
  <!--T:53-->
 +
/ip firewall mangle add chain=forward protocol=tcp dst-port=80 in-interface=ether1-gateway action=mark-packet new-packet-mark=HTTP
 +
 
 +
<!--T:54-->
 +
<gallery>
 +
Tiedosto:RouterOS Firewall Mangle marking packets 1.png
 +
Tiedosto:RouterOS Firewall Mangle marking packets 2.png
 +
</gallery>
 +
 
 +
== Aiheeseen liittyvää == <!--T:55-->
 +
 
 +
<!--T:56-->
 +
* [[RouterOS Queue]]
 +
* [[RouterOS NAT]]
 +
 
 +
== Lähteet == <!--T:57-->
 +
 
 +
<!--T:58-->
 
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
 
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
 +
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle
 +
</translate>
  
</translate>
+
[[Category:RouterOS]]

Nykyinen versio 21. elokuuta 2015 kello 07.08

Muut kielet:
English • ‎suomi

Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon.

RouterOS palomuuri noudattaa pääsääntöisesti Linuxin logiikkaa Iptablesissa.

Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä: 

 /ip firewall
  • RouterOS firewall 1.png

Filter Rules

Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin.

Peruspalomuuri

Tässä esimerkissämme luomme turvallisen RouterOS peruspalomuurin joka käy jokaiseen tarpeeseen.

Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle. 

 /ip firewall filter add chain=input action=accept
  • RouterOS firewall filter rule input example 1.png
  • RouterOS firewall filter rule input example 2.png

Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi. Yhteys pitää kuitenkin olla luotettava. 

 /ip firewall filter add chain=forward  connection-state=established,related action=accept
  • RouterOS firewall filter rule input example 3.png
  • RouterOS firewall filter rule input example 2.png

Estetään epämääräiset liikennöinti reitittimen läpi. 

 /ip firewall filter add chain=forward connection-state=invalid action=drop
  • RouterOS firewall filter rule input example 7.png
  • RouterOS firewall filter rule input example 6.png

Seuraavaksi sallitaan ICMP prokolola, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa. 

 /ip firewall filter add chain=input protocol=icmp action=accept
  • RouterOS firewall filter rule input example 4.png
  • RouterOS firewall filter rule input example 2.png

Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen. 

 /ip firewall filter add chain=input in-interface=ether1 action=drop
  • RouterOS firewall filter rule input example 5.png
  • RouterOS firewall filter rule input example 6.png

Nyt on valmiina peruspalomuuriasetukset. Palomuuri toimii ylhäältä alaspäin (0 ->) listan mukaisesti. Oletuksena on aina sallitaan jos ei toisin mainita. 

 /ip firewall filter print
  • RouterOS firewall filter rule input example 8.png

Estä hallintaporteihin pääsy ulkoverkosta

Estetään ulkoverkosta pääsy hallintaportteihin 21, 22, 23, 80 ulkoverkosta. Tämä suojaa Mikrotikkiä ettei ulkopuolinen pääse laitteeseen käsiksi helpolla. 

 /ip firewall filter add chain=input protocol=tcp dst-port=21,22,23,80 in-interface=ether1 action=drop

NAT

NAT:ista meillä on oma artikkeli: RouterOS NAT

Mangle

Mangle:n avulla voit merkata paketit erityisellä merkillä. Voit lisätä merkin pakettiin ja käyttää esimerkiksi Queue:ssa, NAT:issa ja reitittämisessä. Mangle:n merkit ovat vain nykyisen reitittimen merkkejä, eli niitä ei lähetetä verkossa eteenpäin.

Marking Packets

Merkataan esimerkiksi interface:n ether1-gateway:n portissa 80 menevät paketit. 

 /ip firewall mangle add chain=forward protocol=tcp dst-port=80 in-interface=ether1-gateway action=mark-packet new-packet-mark=HTTP
  • RouterOS Firewall Mangle marking packets 1.png
  • RouterOS Firewall Mangle marking packets 2.png

Aiheeseen liittyvää

Lähteet

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle

Noudettu kohteesta ”https://taisto.org/index.php?title=RouterOS_Firewall&oldid=10175
Mainos / Advertisement: